Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Organizations
AWS Organizations (préfixe de service :organizations) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Organizations
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AcceptHandshake | Accorde l'autorisation d'envoyer une réponse à l'auteur d'une liaison pour accepter l'action proposée par la demande de liaison (handshake) | Écrire |
iam:CreateServiceLinkedRole |
||
| AttachPolicy | Accorde l'autorisation d'attacher une politique à une racine, une unité organisationnelle ou un compte individuel | Écrire | |||
| CancelHandshake | Accorde l'autorisation d'annuler une demande de liaison (handshake) | Écrire | |||
| CloseAccount | Accorde l'autorisation de fermer une organisation Compte AWS qui fait désormais partie d'une organisation, soit créée au sein de l'organisation, soit invitée à rejoindre l'organisation | Écrire | |||
| CreateAccount | Accorde l'autorisation de créer un Compte AWS membre automatiquement membre de l'organisation avec les informations d'identification à l'origine de la demande | Écrire | |||
| CreateGovCloudAccount | Accorde l'autorisation de créer un compte AWS GovCloud (américain) | Écrire | |||
| CreateOrganization | Accorde l'autorisation de créer une organisation. Le compte avec les informations d'identification qui appelle l' CreateOrganization opération devient automatiquement le compte de gestion de la nouvelle organisation. | Écrire |
iam:CreateServiceLinkedRole |
||
| CreateOrganizationalUnit | Accorde l'autorisation de créer une unité organisationnelle (OU) au sein d'une unité organisationnelle racine ou parent | Écrire | |||
| CreatePolicy | Accorde l'autorisation de créer une politique que vous pouvez associer à une racine, à une unité organisationnelle (UO) ou à un individu Compte AWS | Écrire | |||
| DeclineHandshake | Accorde l'autorisation de refuser une demande de liaison. Cette action définit l'état de la liaison sur DECLINED (REFUSÉ) et désactive effectivement la requête | Écrire | |||
| DeleteOrganization | Accorde l'autorisation de supprimer l'organisation | Écrire | |||
| DeleteOrganizationalUnit | Accorde l'autorisation de supprimer une unité organisationnelle d'une unité organisationnelle racine ou d'une autre unité organisationnelle | Écrire | |||
| DeletePolicy | Accorde l'autorisation de supprimer une politique de votre organisation | Écrire | |||
| DeleteResourcePolicy | Accorde l'autorisation de supprimer une politique de votre organisation | Écrire | |||
| DeregisterDelegatedAdministrator | Accorde l'autorisation de désenregistrer le membre spécifié Compte AWS en tant qu'administrateur délégué pour le AWS service spécifié par ServicePrincipal | Écrire | |||
| DescribeAccount | Accorde l'autorisation de récupérer les détails liés à Organizations sur le compte spécifié | Lecture | |||
| DescribeCreateAccountStatus | Accorde l'autorisation de récupérer le statut actuel d'une requête asynchrone pour créer un compte | Lecture | |||
| DescribeEffectivePolicy | Accorde l'autorisation de récupérer la politique effective d'un compte | Lecture | |||
| DescribeHandshake | Accorde l'autorisation de récupérer les détails relatifs à une liaison demandée précédemment | Lecture | |||
| DescribeOrganization | Accorde l'autorisation de récupérer les détails relatifs à l'organisation à laquelle appartiennent les informations d'identification de l'appelant | Lecture | |||
| DescribeOrganizationalUnit | Accorde l'autorisation de récupérer les détails relatifs à une unité organisationnelle (OU) | Lecture | |||
| DescribePolicy | Accorde l'autorisation de récupérer les détails relatifs à une politique | Lecture | |||
| DescribeResourcePolicy | Accorde l'autorisation d'obtenir des informations sur une politique de ressources | Lecture | |||
| DetachPolicy | Accorde l'autorisation de détacher une politique d'une racine cible, d'une unité organisationnelle ou d'un compte | Écrire | |||
| DisableAWSServiceAccess | Accorde l'autorisation de désactiver l'intégration d'un AWS service (le service spécifié par ServicePrincipal) avec AWS Organizations | Écrire | |||
| DisablePolicyType | Accorde l'autorisation de désactiver un type de politique d'organisation dans une racine | Écrire | |||
| EnableAWSServiceAccess | Accorde l'autorisation d'activer l'intégration d'un AWS service (le service spécifié par ServicePrincipal) avec AWS Organizations | Écrire | |||
| EnableAllFeatures | Accorde l'autorisation de démarrer le processus d'activation de toutes les fonctions dans une organisation, afin de la mettre à niveau pour qu'elle ne prenne pas seulement en charge les fonctions de facturation consolidée | Écrire | |||
| EnablePolicyType | Accorde l'autorisation d'activer un type de politique dans une racine | Écrire | |||
| InviteAccountToOrganization | Accorde l'autorisation d'envoyer une invitation à une autre Compte AWS personne, en lui demandant de rejoindre votre organisation en tant que compte membre | Écrire | |||
| LeaveOrganization | Accorde l'autorisation de supprimer un compte membre de son organisation parent | Écrire | |||
| ListAWSServiceAccessForOrganization | Accorde l'autorisation de récupérer la liste des AWS services pour lesquels vous avez activé l'intégration dans votre organisation | Liste | |||
| ListAccounts | Accorde l'autorisation de répertorier tous les comptes de l'organisation | Liste | |||
| ListAccountsForParent | Accorde l'autorisation de répertorier les comptes d'une organisation qui se trouvent dans une racine ou une unité organisationnelle (OU) | Liste | |||
| ListChildren | Accorde l'autorisation de répertorier tous les comptes OUs ou contenus dans une unité d'organisation parent ou racine | Liste | |||
| ListCreateAccountStatus | Accorde l'autorisation de répertorier les demandes de création de compte asynchrones qui font actuellement l'objet d'un suivi pour l'organisation | Liste | |||
| ListDelegatedAdministrators | Accorde l'autorisation de répertorier les AWS comptes désignés comme administrateurs délégués dans cette organisation | Liste | |||
| ListDelegatedServicesForAccount | Accorde l'autorisation de répertorier les AWS services pour lesquels le compte spécifié est un administrateur délégué dans cette organisation | Liste | |||
| ListHandshakesForAccount | Accorde l'autorisation de répertorier toutes les liaisons qui sont associées à un compte | Liste | |||
| ListHandshakesForOrganization | Accorde l'autorisation de répertorier les liaisons qui sont associées à l'organisation | Liste | |||
| ListOrganizationalUnitsForParent | Accorde l'autorisation de répertorier toutes les unités organisationnelles (OUs) d'une unité organisationnelle parent ou racine | Liste | |||
| ListParents | Accorde l'autorisation de répertorier la racine ou les unités organisationnelles (OUs) qui servent de parent immédiat à une unité d'organisation ou à un compte enfant | Liste | |||
| ListPolicies | Accorde l'autorisation de répertorier toutes les stratégies d'une organisation | Liste | |||
| ListPoliciesForTarget | Accorde l'autorisation de répertorier toutes les stratégies qui sont attachées directement à une racine, une unité organisationnelle (OU) ou un compte | Liste | |||
| ListRoots | Accorde l'autorisation de répertorier toutes les racines qui sont définies dans l'organisation | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier toutes les balises pour la ressource spécifiée | Liste | |||
| ListTargetsForPolicy | Accorde l'autorisation de répertorier toutes OUs les racines et tous les comptes auxquels une politique est attachée | Liste | |||
| MoveAccount | Accorde l'autorisation de déplacer un compte de sa racine ou unité organisationnelle actuelle vers une autre racine ou unité organisationnelle parent | Écrire | |||
| PutResourcePolicy | Accorde l'autorisation de créer ou de mettre à jour une politique de ressource | Écrire | |||
| RegisterDelegatedAdministrator | Accorde l'autorisation d'enregistrer le compte de membre spécifié pour administrer les fonctionnalités du AWS service Organizations spécifié par ServicePrincipal | Écrire | |||
| RemoveAccountFromOrganization | Accorde l'autorisation de supprimer le compte spécifié de l'organisation | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter une ou plusieurs identifications à la ressource spécifiée | Balisage | |||
| UntagResource | Accorde l'autorisation de supprimer une ou plusieurs balises de la ressource spécifiée | Identification | |||
| UpdateOrganizationalUnit | Accorde l'autorisation de renommer une unité organisationnelle (OU) | Écrire | |||
| UpdatePolicy | Accorde l'autorisation de mettre à jour une politique existante avec un nouveau nom, une nouvelle description ou un nouveau contenu | Écrire | |||
Types de ressources définis par AWS Organizations
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| account |
arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}
|
|
| handshake |
arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
|
|
| organization |
arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
|
|
| organizationalunit |
arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}
|
|
| policy |
arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}
|
|
| resourcepolicy |
arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}
|
|
| awspolicy |
arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
|
|
| root |
arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}
|
Clés de condition pour AWS Organizations
AWS Organizations définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
| organizations:PolicyType | Filtre l'accès en fonction du type de tâche spécifié | Chaîne |
| organizations:ServicePrincipal | Filtre l'accès en fonction du service principal spécifié | Chaîne |
